Linux Containers - Incus

2024/07/12

はじめに ¶

Incus チームは、Incus 6.3 のリリースのアナウンスができてうれしいです！

このリリースのハイライトは、OCI アプリケーションコンテナの初期サポートです。
これにより、一般的な Docker/OCI コンテナイメージを直接 Incus で使用できるようになります。このコンテナは、通常のシステムコンテナや仮想マシンと一緒に使用できます。

いつものように、オンラインでご自身で試せます: https://linuxcontainers.org/incus/try-it/
注意: オンラインデモ環境は Docker Hub にはアクセスできません。

Enjoy!

新機能 ¶

OCI アプリケーションコンテナの初期サポート ¶

Incus は、Docker Hub のようなアプリケーションコンテナのリポジトリにアクセスし、イメージを取得し、Incus で使えるように変換（フラット化）し、そして、そこから作業用コンテナを作成できるようになりました。

このサポートは、OCI コンテナサポートの非常に初期の状態であり、ユーザーからのフィードバックにもとづいて埋める必要があるギャップがかなりあると思われます。しかし現在、同じシステムで Docker と Incus を同時に動かしているユーザーや、単一のソフトウェアを実行するためだけに Incus コンテナ内で Docker を使っているユーザーのような、多数のシンプルなケースでは、Incus は直接それを処理できるようになったはずです。

リソースリミット、システムコールインターセプションといったような、すべての Incus コンテナの設定オプションは、これらのコンテナにもすべて適用されます。また、これらはすべて、システムコンテナと同様の安全なコンテナ環境で実行されます。

stgraber@dakara:~$ incus remote add docker https://docker.io --protocol=oci
stgraber@dakara:~$ incus launch docker:mysql mysql \
> -c environment.MYSQL_DATABASE=wordpress \
> -c environment.MYSQL_USER=wordpress \
> -c environment.MYSQL_PASSWORD=wordpress \
> -c environment.MYSQL_RANDOM_ROOT_PASSWORD=1
Launching mysql

stgraber@dakara:~$ incus list mysql
+-------+---------+----------------------+------------------------------------------+-----------------+-----------+
| NAME  |  STATE  |         IPV4         |                   IPV6                   |      TYPE       | SNAPSHOTS |
+-------+---------+----------------------+------------------------------------------+-----------------+-----------+
| mysql | RUNNING | 172.17.250.26 (eth0) | 2602:fc62:c:250:216:3eff:fefa:468 (eth0) | CONTAINER (APP) | 0         |
+-------+---------+----------------------+------------------------------------------+-----------------+-----------+

stgraber@dakara:~$ incus launch docker:wordpress wordpress \
> -c environment.WORDPRESS_DB_HOST=172.17.250.26 \
> -c environment.WORDPRESS_DB_USER=wordpress \
> -c environment.WORDPRESS_DB_PASSWORD=wordpress \
> -c environment.WORDPRESS_DB_NAME=wordpress
Launching wordpress

stgraber@dakara:~$ incus list wordpress
+-----------+---------+-----------------------+-------------------------------------------+-----------------+-----------+
|   NAME    |  STATE  |         IPV4          |                   IPV6                    |      TYPE       | SNAPSHOTS |
+-----------+---------+-----------------------+-------------------------------------------+-----------------+-----------+
| wordpress | RUNNING | 172.17.250.119 (eth0) | 2602:fc62:c:250:216:3eff:fe61:c1fc (eth0) | CONTAINER (APP) | 0         |
+-----------+---------+-----------------------+-------------------------------------------+-----------------+-----------+
stgraber@dakara:~$

クラスター内のベースライン CPU 定義 ¶

これまでの Incus のライブマイグレーションの大きな制限の 1 つは、クラスター内のすべてのサーバーで同一の CPU が実行されている前提だったことです。2 つのシステム間で CPU が異なる場合、ライブマイグレーションは失敗するか、あとでクラッシュするかです。

これは Incus が、実行しているマシンから、すべての CPU フラグを常に公開するためです。
これは、スタンドアロンのシステムで最大限のパフォーマンスを得るには適しています。しかし、異機種クラスターではうまく機能しません。

このリリースで、Incus は、特定のアーキテクチャーのすべてのサーバーで共通の CPU フラグの組を自動的に計算するようになります。そして、ライブマイグレーションが有効（migration.stateful=true）で実行されているすべてのインスタンスで CPU 定義として使用します。

`io.bus` と `io.cache` のファイルシステムサポート ¶

io.bus と io.cache オプションは、少し前から VM のディスク用に存在していました。
io.bus では、virtio-scsi、virtio-blk、nvme オプションが提供され、io.cache では none、writeback、unsafe キャッシュが使用できます。

これらの設定キーを、ディスクでなく、ファイルシステムを指定するときでもサポートするようになりました。
ファイルシステムを指定するときの値は少し異なり、io.bus は auto（デフォルト）、9p、virtiofs のいずれか、io.cache は none（デフォルト）、metadata、unsafe をサポートします。

これにより、ファイルシステムが VM に公開される方法を正確に制御し、virtiofs を使用するときにキャッシュ動作を微調整できます。

`incus top` の改良 ¶

Incus 6.2 で、新たに incus top コマンドを導入しました。
このリリースでは、リモートサーバーに対しても動作し、クラスター化された環境を適切にサポートし、プロジェクトも処理することで、より有用になりました。

+---------+---------------+-------------+-----------+-----------+
| PROJECT | INSTANCE NAME | CPU TIME(S) |  MEMORY   |   DISK    |
+---------+---------------+-------------+-----------+-----------+
| default | incus-ui      | 63.40       | 12.76MiB  | 1.54GiB   |
+---------+---------------+-------------+-----------+-----------+
| default | kernel-test   | 1865037.10  | 578.01MiB | 32.84GiB  |
+---------+---------------+-------------+-----------+-----------+
| default | speedtest     | 84.10       | 23.14MiB  | 400.12MiB |
+---------+---------------+-------------+-----------+-----------+
| default | win11         | 1865.11     | 15.51GiB  |           |
+---------+---------------+-------------+-----------+-----------+
| demo    | mysql         | 6.77        | 464.20MiB | 276.62MiB |
+---------+---------------+-------------+-----------+-----------+
| demo    | wordpress     | 1.81        | 53.66MiB  | 386.62MiB |
+---------+---------------+-------------+-----------+-----------+
| vpn     | vpn-dev       | 102.97      | 36.83MiB  | 412.00MiB |
+---------+---------------+-------------+-----------+-----------+
| vpn     | vpn-lab       | 57.29       | 27.03MiB  | 347.75MiB |
+---------+---------------+-------------+-----------+-----------+
Press 'd' + ENTER to change delay
Press 's' + ENTER to change sorting method
Press CTRL-C to exit

Delay: 10s
Sorting Method: Alphabetical

サーバーリソースの CPU フラグ ¶

マシンのハードウェア構成に関する多くの詳細情報を公開するのに使うリソース API が更新され、CPU フラグが公開されるようになりました。

この機能は、先に紹介したベースライン CPU 機能の実装に必要でした。
新しいデータは、API で直接見つけることができ、CPU コアごとに提供されます。

stgraber@dakara:~$ incus query /1.0/resources | jq .cpu.sockets[0].cores[0].flags -c
["fpu","vme","de","pse","tsc","msr","pae","mce","cx8","apic","sep","mtrr","pge","mca","cmov","pat","pse36","clflush","mmx","fxsr","sse","sse2","ht","syscall","nx","mmxext","fxsr_opt","pdpe1gb","rdtscp","lm","constant_tsc","rep_good","nopl","xtopology","nonstop_tsc","cpuid","extd_apicid","aperfmperf","rapl","pni","pclmulqdq","monitor","ssse3","fma","cx16","sse4_1","sse4_2","x2apic","movbe","popcnt","aes","xsave","avx","f16c","rdrand","lahf_lm","cmp_legacy","svm","extapic","cr8_legacy","abm","sse4a","misalignsse","3dnowprefetch","osvw","ibs","skinit","wdt","tce","topoext","perfctr_core","perfctr_nb","bpext","perfctr_llc","mwaitx","cpb","cat_l3","cdp_l3","hw_pstate","ssbd","mba","ibrs","ibpb","stibp","vmmcall","fsgsbase","bmi1","avx2","smep","bmi2","erms","invpcid","cqm","rdt_a","rdseed","adx","smap","clflushopt","clwb","sha_ni","xsaveopt","xsavec","xgetbv1","xsaves","cqm_llc","cqm_occup_llc","cqm_mbm_total","cqm_mbm_local","clzero","irperf","xsaveerptr","rdpru","wbnoinvd","cppc","arat","npt","lbrv","svm_lock","nrip_save","tsc_scale","vmcb_clean","flushbyasid","decodeassists","pausefilter","pfthreshold","avic","v_vmsave_vmload","vgif","v_spec_ctrl","umip","pku","ospke","vaes","vpclmulqdq","rdpid","overflow_recov","succor","smca","fsrm","debug_swap"]

`incus-simplestreams add` の統合イメージサポート ¶

incus-simplestreams ツールは、simplestream インデックスフォーマットを使って、Incus イメージをホスティングする静的な Web サーバーを管理するために使います。このツールが更新され、分割イメージだけでなく統合イメージもサポートされるようになりました。

Incus イメージは、メタデータファイルと 1 つの rootfs もしくはルートディスクからなる 2 つのファイルで構成される場合と、メタデータと rootfs もしくはルートディスクを、ディレクトリー/ファイルとして含む単一の tarball で構成される場合（統合イメージ）があります。

統合イメージをサーバーに追加するには、incus-simplestreams add を、通常使うケースのように 2 つのファイルを指定するのではなく、単一のファイルを指定するだけです。

libovsdb 使用への移行の完了 ¶

過去 4〜5 リリースで、直接 ovs-vsctl や ovn-nbctl や ovn-sbctl といったコマンドラインツールを直接呼び出す実装から、代わりにネイティブの OVSDB クライアントを使う実装に徐々に移行してきました。

この作業がついに終わり、Incus では、OVN を使うために、もうシステム上に OVS/OVN ツールが存在している必要はなくなりました。

新しいロジックでは、関連するデータベースへの永続的な接続を維持し、OVN とのやり取りに必要な時間と CPU オーバーヘッドを大幅に削減します。この永続的な接続により、以前のアプローチでは不可能だった、OVN から直接イベントを受信して反応することも可能になります。

すべての変更点 ¶

このリリースのすべての変更のリストは次の通りです（翻訳なし）:

すべてのChangeLogを見る

incus/project: Fix bad --show-access output
cmd/incus-user: Avoid double user-user- in network description
Translated using Weblate (German)
Translated using Weblate (Japanese)
incus/admin_sql: Fix description
incus/storage_bucket: Fix string quoting
incus/profile: Fix examples
incus/project: Fix examples
incus/snapshot: Improve restore example
incus/storage_bucket: Fix typoes in examples
incus/storage_bucket: Fix export example
incus/exec: Add some examples
i18n: Update translation templates
incus-user: Don't needlessly update the default profile
incus/top: Support remote servers
incus/top: Properly handle projects
incus/top: Handle clusters
incusd/instance/qemu: Avoid endianness issues with vsockIDInt
internal/linux: Define some IOCTLs
incusd/instance/qemu: Don't use hardcoded ioctl
incusd/storage/btrfs: Don't use hardcoded ioctl
incusd/devices: Simplify ioctl logic
shared/cliconfig: Remove old migration logic
shared/cliconfig: Generalize logic
incusd/seccomp: Fix sysinfo logic on 32bit platforms
shared/cliconfig: Always fill in the protocol
incus: Generalize image server logic
incus/console: Re-shuffle logic a bit
incus: Handle stopped containers in --console
incus/console: Don't export an internal function
doc: update documentation for forming cluster with existing server
github: Cleanup workflow file
github: Build go tip
github: Change Go releases in tests
test/lint/golangci: Properly pull the parent ref
cmd/incusd: Fix typo in forknet
api: resources_cpu_flags
shared/api: Add Flags to ResourceCPUCore
doc/rest-api: Refresh swagger YAML
incusd/resources: Add CPU Flags to ResourceCPUCore
incusd/network/ovn: Port CreateLogicalRouterRoute to libovsdb
incusd/network/ovn: Port DeleteLogicalRouterRoute to libovsdb
incusd/network: Update for OVN function changes
incusd/network/ovn: Port DeleteLogicalRouterPort to libovsdb
incusd/network/ovn: Remove LogicalRouterPortDeleteIPv6Advertisements
incusd/network: Update for OVN function changes
incusd/network/ovn: Port DeleteLogicalSwitch to libovsdb
incusd/network: Update for OVN function changes
incusd/network/ovn: Remove logicalSwitchFindAssociatedPortGroups
doc/instances_console: Tweak wording on SPICE clients
incusd/network/ovn: Special handling for Load Balancer table
incusd/network/ovn: Align functions context handling
incusd/network/ovn: Port DeleteLogicalSwitchDHCPOption to libovsdb
incusd/network/ovn: Port GetLogicalSwitchPortLocation to libovsdb
incusd/network/ovn: Port GetLogicalSwitchPortUUID to libovsdb
incusd/network/ovn: Port GetLogicalRouterPortHardwareAddress to libovsdb
incusd/network/ovn: Add GetLogicalRouter
incusd/network/ovn: Port DeleteLoadBalancer to libovsdb
incusd/network/acl: Update for OVN function changes
incusd/network: Update for OVN function changes
incusd/network: Simplify OVN network deletion logic
incus/network_load_balancer: Fix example
i18n: Update translation templates
incusd/network/ovn: Port UpdateLogicalSwitchIPAllocation to libovsdb
incusd/network/ovn: Port UpdateLogicalSwitchDHCPv4Revervations to libovsdb
incusd/network/ovn: Port GetLogicalSwitchDHCPv4Revervations to libovsdb
incusd/network/ovn: Port GetLogicalSwitchDHCPOptions to libovsdb
incusd/network/ovn: Port UpdateLogicalSwitchDHCPv4Options to libovsdb
incusd/network/ovn: Port UpdateLogicalSwitchDHCPv6Options to libovsdb
incusd/network: Update for OVN function changes
incusd/networks: Properly finalize OVN networks
incusd/networks: Properly record description
incusd/response: Add Code function
incusd/operations: Implement Code function
incusd: Implement Code function
incus-agent: Implement Code function
client: Fix OIDC re-authentication on POST
client: Fix OIDC re-authentication on websocket
incus/network: Add missing stdin handling
i18n: Update translation templates
lxd-to-incus: Handle volume config keys
incusd/project: Don't fail creation on authorizer
doc/instance_units: Clarify usage
incusd/network/ovn: Port logicalSwitchPortACLRules to libovsdb
incusd/network/ovn: Port GetLogicalSwitchPorts to libovsdb
incusd/network/ovn: Port UpdateLogicalSwitchPortOptions to libovsdb
incusd/network/ovn: Port CreatePortGroup to libovsdb
incusd/network: Update for OVN function changes
incusd/device/nic: Update for OVN function changes
incusd/network/acl: Update for OVN function changes
incusd/network/ovn: Port GetPortGroupsByProject to libovsdb
incusd/network/ovn: Port CreateAddressSet to libovsdb
incusd/network/ovn: Port UpdateAddressSetAdd to libovsdb
incusd/network/ovn: Port UpdateAddressSetRemove to libovsdb
incusd/network/ovn: Port DeleteAddressSet to libovsdb
incusd/network/acl: Update for OVN function changes
incusd/network: Update for OVN function changes
incusd/network/ovn: Port UpdateLogicalSwitchPortLinkRouter to libovsdb
incusd/network/ovn: Port UpdateLogicalSwitchPortLinkProviderNetwork to libovsdb
incusd/network/ovn: Port GetLogicalSwitchIPs to libovsdb
incusd/network/ovn: Port GetLogicalSwitchPortDNS to libovsdb
incusd/network: Update for OVN function changes
incusd/network/ovn: Port UpdateLogicalSwitchPortDNS to libovsdb
incusd/network/ovn: Port UpdatePortGroupMembers to libovsdb
incusd/network/ovn: Port UpdateLogicalRouterPolicy to libovsdb
incusd/network: Update for OVN function changes
incusd/network/ovn: Port CreateLoadBalancer to libovsdb
incusd/network/ovn: Port GetLogicalRouterRoutes to libovsdb
incusd/network/ovn: Port DeleteLogicalRouterPeering to libovsdb
incusd/network: Update for OVN function changes
incusd/apparmor: Update for current QEMU
incusd/apparmor: Allow /dev/shm in forkproxy
incusd/network/ovn: Port CreateLogicalRouterPeering to libovsdb
incusd/network: Update for OVN function changes
Translated using Weblate (Chinese (Simplified))
incusd/network/ovn: Port logicalSwitchPortDeleteDNSOperations to libovsdb
incusd/network/ovn: Port DeleteLogicalSwitchPortDNS to libovsdb
incusd/network/ovn: Port logicalSwitchPortDeleteOperations to libovsdb
incusd/network/ovn: Port CleanupLogicalSwitchPort to libovsdb
incusd/network/ovn: Port aclRuleDeleteOperations to libovsdb
incusd/network/ovn: Port aclRuleAddOperations to libovsdb
incusd/network/ovn: Port ClearPortGroupPortACLRules to libovsdb
incusd/network/ovn: Port UpdatePortGroupPortACLRules to libovsdb
incusd/network/ovn: Port UpdateLogicalSwitchACLRules to libovsdb
incusd/network/ovn: Port UpdatePortGroupACLRules to libovsdb
incusd/network/acl: Update for OVN function changes
incusd/network: Update for OVN function changes
incusd/network/ovn: Remove nbctl
api: disk_io_bus_cache_filesystem
incusd/device/disk: Extend io.bus option
incusd/device/disk: Extend io.cache option
incusd/device/disk: Add support for io.cache on virtiofs
incusd/device/disk: Add support for io.bus on filesystems
incusd/instance/driver_qemu: Handle 9p being disabled
doc: Update configs
doc/installing: Update Debian/Ubuntu build instructions
doc/installing: Mention installing Go from upstream
incusd/instance/edk2: Add new package to track EDK2 firmwares
incusd/instance/qemu: Update to the new edk2 package
incusd/apparmor: Update to the new edk2 package
doc: Cleanup OVMF/EDK2 handling to cover aarch64
doc/installing: Use Incus 6.0.0 as example
incusd/instance/qemu: Fix handling of virtiofs-only disks
incus/storage_volume: Tweak help messages
i18n: Update translation templates
incus/storage_volume: Fix lint
doc/installing: Mention incus-tools package
incus-simplestreams: Add support for unified images
incus-simplestreams: Tweak help message
incus-simplestreams: Refactor unified logic
gomod: Update dependencies
incusd/apparmor: Allow devpts mounts
incusd: Improve profile rename errors
incusd/sys: Add cluster resources cache path
incusd/daemon: Locally cache other server resources
incusd/instance/drivers/qmp: Add QueryCPUModel
incusd/instance/qemu: Use cluster CPU flags for migration.stateful
incus-user: Use shorter interrface name for long UIDs
incusd/device/network: Fix Tap interface MTU when in OVN
incusd/isntance: Don't expose all internal flags in INFO message
incusd/instance/lxc: Allow calling Update from a Create operation
cmd/incusd: Add forknet dhcp
shared/subprocess: Allow building on Windows
api: instance_oci
client: Add basic OCI registry client
incus: Add OCI remote support
shared/cliconfig: Add OCI remote support
incusd: Add OCI registry support
incusd/instance/lxc: Basic OCI support
internal/instance: Add volatile.container.oci
incusd/instance/lxc: Add volatile.container.oci
incus: Add support for volatile.container.oci
incusd/instance: Handle OCI config on create from image
tests: Add basic OCI test
gomod: Update dependencies
doc: Update configs
doc: Add OCI to wordlist
i18n: Update translation templates
shared/subprocess: Fix gofmt
incusd/storage/lvmcluster: Don't allow buckets
incusd/storage/lvmcluster: Don't exclusively lock ISO volumes
incusd/device/disk: Allow attaching the same ISO to multiple instances
incusd/device/disk: Allow live-migration with agent/cloud-init disks
incusd/instance/qemu: Fix live-migration with agent/cloud-init disks
incusd/device/disk: Don't crash on uninitialized pool
incusd/storage/lvmcluster: Always use shared access
incusd/instance/lxc: Don't report filesystem metrics when no per-instance value
incus/top: Set interval to 10s (minimum server-side is 8)
incus/top: Hide zero values
incusd/device/disk: Mark virtual disks as always migratable
tests: Update metrics test for recent change

ドキュメント ¶

Incus のドキュメントはこちらです:
https://incus-ja.readthedocs.io/ja/latest/ （日本語訳）
https://linuxcontainers.org/incus/docs/main/ （原文）

パッケージ ¶

Incus の開発元は、通常リリースの tarball のみをリリースするため、公式の Incus パッケージはありません。Incus を実行するために使えるオプションを以下にいくつか示します。

Linux 上に Incus サーバーをインストールする ¶

Incus はほとんどの一般的な Linux ディストリビューションで利用できます。インストール手順の詳細は、Incus のドキュメントを参照してください。

https://incus-ja.readthedocs.io/ja/latest/installing/ （日本語訳）
https://linuxcontainers.org/incus/docs/main/installing/ （原文）

Incus クライアントの Homebrew パッケージ ¶

HomeBrew 経由で、Linux と macOS 向けにクライアントツールが利用できます。

https://formulae.brew.sh/formula/incus

Incus クライアントの Chocolatey パッケージ ¶

Chocolatey 経由で、Windows ユーザー向けにクライアントツールが利用できます。

https://community.chocolatey.org/packages/incus/6.3.0

Incus クライアントの Winget パッケージ ¶

Winget 経由で、Windows ユーザー向けにクライアントツールが利用できます。

https://winstall.app/apps/LinuxContainers.Incus

サポート ¶

月次のフィーチャーリリースは、次のリリースがリリースされるまでのみサポートされます。より長いサポート期間と少ない変更頻度が必要な場合、代わりに Incus 6.0 LTS の使用を検討すべきです。

コミュニティサポートはこちらから : https://discuss.linuxcontainers.org
商用サポートはこちらから : https://zabbly.com/incus
バグはこちらから報告できます : https://github.com/lxc/incus/issues

Contents

Incus 6.3 リリースのお知らせ

Incus 6.3 リリースのお知らせ¶